Kerberos

Kerberos разработан в MIT и стандартизирован в RFC 4120. Клиент проходит аутентификацию в центре распределения ключей (KDC) и получает Ticket-Granting Ticket (TGT). С помощью TGT он запрашивает сервисные билеты для конкретных серверов, не передавая пароль повторно. Билеты имеют ограниченный срок действия и шифруются общими ключами, обеспечивая взаимную аутентификацию и защиту от повторной передачи. Kerberos лежит в основе аутентификации в Active Directory, многих Linux/Unix-реалмах и Hadoop-кластерах. Известные слабые места — атаки на слабые пароли сервисных учёток (Kerberoasting), подделанные билеты (Golden/Silver Ticket) и расхождения времени; современная защита включает сильные секреты сервисных учётных записей, использование только AES и ограниченную делегацию.